文章总结： 安全研究人员在XChargeC6电动汽车充电桩中发现多个严重漏洞，包括固件更新机制漏洞CVE-2026-9037（CVSS9.3）允许远程代码执行、物理接口缓冲区溢出漏洞CVE-2026-9038和默认凭据漏洞CVE-2026-9039。这些漏洞可使攻击者完全控制充电设备，威胁充电站网络安全。厂商已推送自动化修复补丁，建议管理员立即核实设备补丁状态并保持严格更新管理。 综合评分： 84 文章分类： 漏洞分析,IoT安全,解决方案,威胁情报,漏洞预警

XCharge C6电动汽车充电桩存在多个严重漏洞，可导致任意代码执行

DDoS DDoS

代码卫士

2026年6月3日 17:46 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

安全研究人员近期在Xcharge 公司的电动汽车充电桩产品C6中发现了多个严重漏洞，为全球充电站网络带来严重威胁。未打补丁的系统将导致未经授权的用户以高权限执行任意代码。因此，网络运营商必须立即核实硬件补丁状态，防止遭远程攻击。

固件更新机制中的漏洞

在这些漏洞中，最严重的漏洞CVE-2026-9037（CVSS评分9.3）直接影响设备控制系统。此外，管理界面未能正确验证传入的文件。根据公告，“由于未验证加密签名，攻击者若能够干扰或冒充管理通道，便可导致设备安装未经授权的固件包”。因此，恶意攻击者可以完全远程劫持该系统。

物理接口风险

（1）缓冲区溢出利用

攻击者还可通过本地硬件接口对充电桩发起攻击。存在于控制器信号处理逻辑中的栈缓冲溢出漏洞（CVE-2026-9038）可导致拥有物理访问权限的攻击者，提供过大的消息字段破坏系统内存。

（2）默认凭据弱点

此外，严重的配置弱点（CVE-2026-9039）影响信令通道。由于系统错误地接受了通过车辆与充电桩之间通信路径传输的默认管理凭据，因此，“物理连接到充电接口的恶意设备可利用这一错误配置，获得完整的管理员访问权限”。这些XCharge C6 漏洞对本地基础设施安全构成了直接威胁。

缓解措施建议

值得庆幸的是，Xcharge 公司已部署自动化的软件修复方案。该公司确认，所有在网充电设备均已推送更新。然而，管理员仍应联系客户支持，确认当前的设备安全状态。保持严格的打补丁管理习惯仍然是保障智能车辆基础设施安全的最佳方式。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

在线阅读版：《智能网联汽车云平台漏洞分析报告》全文

《2025中国软件供应链安全报告》发布：大模型、智能网联车风险亟待重视

电动汽车充电网络告警：Everon OCCP 后端系统存在严重漏洞

施耐德EVlink 电动车充电站有新漏洞，可导致电动车遭劫持

施耐德电气公司电动汽车充电站被曝严重漏洞

原文链接

Critical XCharge C6 Vulnerabilities Expose Electric Vehicle Chargers

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 DDoS DDoS《XCharge C6电动汽车充电桩存在多个严重漏洞，可导致任意代码执行》